Zehn Jahre DSGVO: Compliance-Druck erreicht neue Dimension

Seit zehn Jahren prägt die Datenschutz-Grundverordnung die europäische Wirtschaft – doch der Druck auf Unternehmen wächst rasant.

Die europäische Wirtschaft feiert heute ein ungemütliches Jubiläum: Vor genau zehn Jahren trat die DSGVO in Kraft. Aus dem einstigen Pionierprojekt ist längst ein komplexes Regelwerk geworden, das Unternehmen vor immer neue Herausforderungen stellt. Während die Grundverordnung damals den Grundstein für digitale Souveränität legte, geht es heute um weit mehr: Audit-Festigkeit und persönliche Haftung von Managern stehen im Fokus.

Lücken in der Dokumentation können Unternehmen heute teuer zu stehen kommen und Bußgelder von bis zu 2 % des Jahresumsatzes nach sich ziehen. Diese kostenlose Excel-Vorlage hilft Ihnen, Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO rechtssicher und zeitsparend zu erstellen. Kostenlose Muster-Vorlage und Anleitung jetzt gratis herunterladen

Rekord-Strafen und wachsende Klagebereitschaft

Die finanziellen Folgen sind beeindruckend – und abschreckend zugleich. Im März 2026 knackte die Summe aller verhängten DSGVO-Bußgelder erstmals die Sechs-Milliarden-Euro-Marke. Dennoch sehen viele Unternehmen die Regulierung weiterhin als Bremse: Laut einer Studie aus dem Jahr 2025 empfinden 81 Prozent der Firmen die DSGVO als Belastung. Besonders schmerzhaft: Fast 70 Prozent der Organisationen berichten, dass Datenschutzauflagen das Training Künstlicher Intelligenz behindern.

NIS2: Das große Registrierungs-Defizit

Mit dem NIS2-Umsetzungsgesetz (NIS2UmsuCG) hat die Bundesregierung die Cybersicherheitsanforderungen drastisch verschärft. Seit dem 6. Dezember 2025 ist das Gesetz in Kraft, die Meldefrist endete am 6. März 2026. Doch die Bilanz ist ernüchternd: Von den geschätzt 29.500 betroffenen Unternehmen haben sich lediglich rund 11.000 beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert – eine Quote von gerade einmal 39 Prozent.

Das BSI hat deshalb die aktive Durchsetzungsphase eingeläutet. Die Strafen sind happig: Bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes drohen. Und damit nicht genug: Paragraph 38 des BSI-Gesetzes legt die persönliche Haftung der Geschäftsführung für Cybersicherheitsmängel fest.

Dass diese Risiken real sind, zeigt der Cyberangriff Mitte April 2026 auf einen externen Abrechnungsdienstleister. Die Daten von rund 54.000 Patienten des Universitätsklinikums Freiburg sowie Tausender weiterer Patienten in Köln, Düsseldorf, Ulm und Heidelberg wurden kompromittiert. Insgesamt sind über 100.000 Datensätze betroffen.

Neue Prüfstandards: ISO 27701:2025 als Gamechanger

Um den wachsenden Compliance-Anforderungen gerecht zu werden, hat sich auch die Prüfungslandschaft weiterentwickelt. Am 14. Oktober 2025 veröffentlichte die ISO den Standard ISO/IEC 27701:2025 – ein eigenständiges, zertifizierbares Regelwerk mit 78 spezifischen Datenschutzkontrollen. Anders als die Vorgängerversion, die lediglich eine Erweiterung der ISO 27001 darstellte, ist die neue Norm nun eigenständig zertifizierbar.

Für Unternehmen, die ihre Rechenschaftspflicht nach Artikel 5 Absatz 2 der DSGVO erfüllen wollen, ist das ein entscheidender Schritt. Die Digitalisierung dieser Managementsysteme wird zunehmend unverzichtbar – zumal ältere ISO-27001:2013-Zertifikate bereits Ende Oktober 2025 ihre Gültigkeit verloren haben. Für Zertifikate der Version 2019 läuft die Übergangsfrist noch bis Oktober 2028.

Die Integration dieser Standards gilt zunehmend als Marktzugangsvoraussetzung, insbesondere da der EU Cyber Resilience Act (CRA) „Security by Design" für Produkte mit digitalen Elementen vorschreibt.

Persönliche Haftung: Geschäftsführer in der Schusslinie

Eine Reihe von Gerichtsurteilen hat die persönliche Verantwortung von Führungskräften weiter verschärft. In einem richtungsweisenden Urteil entschied das Oberlandesgericht Dresden, dass Geschäftsführer einer GmbH neben der Gesellschaft persönlich für DSGVO-Verstöße haften können – und zwar nach Artikel 82. Das Gericht begründete dies damit, dass ein Geschäftsführer als „Verantwortlicher" im Sinne der Verordnung fungiert. Diese Rechtsauffassung ist in der Fachliteratur zwar umstritten, erhöht aber das Risikoprofil für D&O-Versicherungen erheblich.

Die verschärfte Haftung von Geschäftsführern bei Datenschutzverstößen erfordert eine lückenlose Absicherung, insbesondere bei neuen technologischen Herausforderungen. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act hilft Ihnen, die gesetzlichen Anforderungen und Risikoklassen von KI-Systemen rechtzeitig zu verstehen. Kostenlosen KI-Leitfaden jetzt herunterladen

Die Haftung erstreckt sich auch auf die Bewertung von Drittanbieter-Risiken und Cloud-Infrastrukturen. Der Konflikt zwischen dem US-amerikanischen CLOUD Act und der DSGVO bleibt ein zentrales Thema für Vorstände: US-Behörden können Zugriff auf Daten verlangen, die bei amerikanischen Anbietern liegen – unabhängig vom physischen Speicherort. Nach NIS2 ist das Management persönlich für die Risikobewertung der gesamten Lieferkette verantwortlich, einschließlich Cloud-Diensten und Sublieferanten.

Auch der Bundesgerichtshof (BGH) hat die Offenlegungspflichten präzisiert: Ende 2023 entschied er, dass Gesellschafter bestimmter Personengesellschaften einen datenschutzkonformen Anspruch auf Informationen über ihre Mitgesellschafter haben – etwa zur Vorbereitung von Kaufangeboten.

Konsolidierung im Cybersecurity-Markt

Die wachsende Komplexität treibt die Konsolidierung der Branche voran. Im März 2026 fusionierten indevis und Data-Sec zur Argos Security, die im Mai 2026 ihr Führungsteam erweiterte, um sich auf Partner-Ökosysteme zu konzentrieren. Dieser Trend spiegelt die Suche nach integrierten Sicherheitslösungen wider – Unternehmen tun sich zunehmend schwer, die Überschneidungen zwischen NIS2, DSGVO und dem Digital Operational Resilience Act (DORA) zu managen.

Aktuelle Marktanalysen vom Mai 2026 zeigen: Der Finanzsektor bleibt das primäre Ziel für komplexe Angriffe. Rund 63 Prozent der Sicherheitslücken stammen von Hardware- und Softwareherstellern. Experten plädieren für einen „Left-of-Boom"-Ansatz, der auf Früherkennung und proaktive Prüfung setzt, bevor ein Angriff stattfindet. Die Dringlichkeit wird durch eine alarmierende Zahl unterstrichen: Fast 30 Prozent aller kritischen Schwachstellen werden noch am selben Tag ausgenutzt, an dem sie in offizielle Sicherheitsdatenbanken aufgenommen werden.

Ausblick: Auf dem Weg zur einheitlichen Zertifizierung

Die Europäische Union arbeitet an weiteren Standardisierungen. Geplant ist ein einheitliches Meldesystem für Ransomware-Vorfälle, das die Reaktion der Mitgliedstaaten koordinieren soll. Ein EU-weites Cybersicherheits-Zertifizierungsprogramm ist für 2028 angekündigt.

Auf nationaler Ebene verschärfen sich die Dokumentationspflichten. In Österreich tritt am 1. Oktober 2026 eine neue Dokumentationspflicht für Cybersicherheit in Kraft. In Deutschland definiert das KRITIS-Dachgesetz, das im März 2026 in Kraft trat, den Schutz kritischer Infrastrukturen neu.

Für Unternehmen bedeutet das: Die nächsten zwei Jahre werden von einem grundlegenden Wandel geprägt sein. Die Ära freiwilliger oder lax geprüfter „Best Practices" geht zu Ende. An ihre Stelle tritt ein Regime strenger Zertifizierungen und persönlicher Managerhaftung.

de | wirtschaft | 69410349 |